Поделиться через

Подключение к AWS с помощью соединителя multicloud в портал Azure

  • Статья

Многооблачный соединитель на базе Azure Arc позволяет подключаться к ресурсам общедоступного облака, отличным от Azure, с помощью портала Azure. В настоящее время общедоступные облачные среды AWS поддерживаются.

В рамках подключения учетной записи AWS к Azure выполняется развертывание шаблона CloudFormation в учетной записи AWS. Этот шаблон создает все необходимые ресурсы для подключения.

Необходимые компоненты

Чтобы использовать соединитель multicloud, вам потребуются соответствующие разрешения как в AWS, так и в Azure.

Предварительные требования AWS

Чтобы создать соединитель и использовать многооблачную инвентаризацию, вам потребуются следующие разрешения в AWS:

  • AmazonS3FullAccess
  • AWSCloudFormationFullAccess
  • IAMFullAccess

Для подключения Arc необходимо выполнить дополнительные предварительные требования.

Разрешения решения AWS

При отправке шаблона CloudFormation запрашиваются дополнительные разрешения на основе выбранных решений:

  • Для инвентаризации можно выбрать разрешение:

    1. Глобальное чтение: предоставляет доступ только для чтения ко всем ресурсам в учетной записи AWS. При появлении новых служб соединитель может сканировать эти ресурсы, не требуя обновленного шаблона CloudFormation.

    2. Минимальный привилегированный доступ. Предоставляет доступ на чтение только к ресурсам в выбранных службах. Если вы решили проверить дополнительные ресурсы в будущем, необходимо отправить новый шаблон CloudFormation.

  • Для подключения Arc в нашей службе требуется доступ на запись EC2 для установки агента подключенного компьютера Azure.

Предварительные требования Azure

Чтобы использовать соединитель multicloud в подписке Azure, требуется встроенная роль участника .

Если это первый раз, когда вы используете службу, необходимо зарегистрировать этих поставщиков ресурсов, для чего требуется доступ участника к подписке:

  • Microsoft.HybridCompute
  • Microsoft.HybridConnectivity
  • Microsoft.AwsConnector
  • Microsoft.Kubernetes

Примечание.

Соединитель multicloud может работать параллельно с соединителем AWS в Defender для облака. При выборе можно использовать оба этих соединителя.

Добавление общедоступного облака в портал Azure

Чтобы добавить общедоступное облако AWS в Azure, используйте портал Azure для ввода сведений и создания шаблона CloudFormation.

  1. В портал Azure перейдите к Azure Arc.

  2. В разделе "Управление" выберите соединители Multicloud (предварительная версия).

  3. В области "Соединители" нажмите кнопку "Создать".

  4. На странице Основные сведения:

    1. Выберите подписку и группу ресурсов, в которой необходимо создать ресурс соединителя.
    2. Введите уникальное имя соединителя и выберите поддерживаемый регион.
    3. Укажите идентификатор учетной записи AWS, которую вы хотите подключить, и укажите, является ли она одной учетной записью или учетной записью организации.
    4. Выберите Далее.

  5. На странице "Решения" выберите решения, которые вы хотите использовать с этим соединителем, и настройте их. Выберите "Добавить" , чтобы включить инвентаризацию, подключение Arc или оба элемента.

    Снимок экрана: решения для соединителя AWS в портал Azure.

    • Для инвентаризации можно изменить следующие параметры:

      1. Выберите, следует ли включить добавление всех поддерживаемых служб AWS. По умолчанию этот параметр включен, чтобы все службы (доступные сейчас и службы, добавленные в будущем), сканировались.

      2. Выберите службы AWS, для которых требуется сканировать и импортировать ресурсы. По умолчанию выбраны все доступные службы.

      3. Выберите разрешения. Если установлен флажок "Добавить все поддерживаемые службы AWS", необходимо иметь глобальный доступ на чтение .

      4. Выберите, следует ли включить периодическую синхронизацию. По умолчанию этот параметр включен, чтобы соединитель регулярно сканирует учетную запись AWS. Если снять флажок, ваша учетная запись AWS сканируется только один раз.

      5. Если установлен флажок "Включить периодическую синхронизацию ", подтвердите или измените каждый выбор, чтобы указать частоту сканирования учетной записи AWS.

      6. Выберите, следует ли включить включение всех поддерживаемых регионов AWS. Выбрав этот параметр, сканируются все текущие и будущие регионы AWS.

      7. Выберите регионы для сканирования ресурсов в учетной записи AWS. По умолчанию выбраны все доступные регионы. Если выбран параметр "Включить все поддерживаемые регионы AWS", необходимо выбрать все регионы.

      8. После завершения выбора нажмите кнопку "Сохранить ", чтобы вернуться на страницу "Решения ".

    • Для подключения Arc:

      1. Выберите метод подключения, чтобы определить, должен ли агент подключенного компьютера подключаться к Интернету через общедоступную конечную точку или прокси-сервер. При выборе прокси-сервера укажите URL-адрес прокси-сервера, к которому может подключиться экземпляр EC2.
      2. Выберите, следует ли включить периодическую синхронизацию. По умолчанию этот параметр включен, чтобы соединитель регулярно сканирует учетную запись AWS. Если снять флажок, ваша учетная запись AWS сканируется только один раз.
      3. Если установлен флажок "Включить периодическую синхронизацию ", подтвердите или измените каждый выбор, чтобы указать частоту сканирования учетной записи AWS.
      4. Выберите, следует ли включить включение всех поддерживаемых регионов AWS. Выбрав этот параметр, сканируются все текущие и будущие регионы AWS.
      5. Выберите регионы для сканирования экземпляров EC2 в учетной записи AWS. По умолчанию выбраны все доступные регионы. Если выбран параметр "Включить все поддерживаемые регионы AWS", необходимо выбрать все регионы.
      6. Выберите фильтр для экземпляров EC2 по тегу AWS. При вводе значения тега здесь только экземпляры EC2, содержащие этот тег, подключены к Arc. Оставив это значение пустым, все обнаруженные экземпляры EC2 подключены к Arc.

  6. На странице шаблона проверки подлинности скачайте шаблон CloudFormation, который вы отправите в AWS. Этот шаблон создается на основе сведений, предоставленных в разделе "Основы" и выбранных решений. Вы можете сразу отправить шаблон или подождать, пока не завершите добавление общедоступного облака.

  7. На странице "Теги" введите все теги, которые вы хотите использовать.

  8. На странице "Проверка и создание" подтвердите сведения, а затем нажмите кнопку "Создать".

Если вы не отправили шаблон во время этого процесса, выполните действия, описанные в следующем разделе.

Отправка шаблона CloudFormation в AWS

После сохранения шаблона CloudFormation, созданного в предыдущем разделе, необходимо передать его в общедоступное облако AWS. Если вы отправите шаблон до завершения подключения облака AWS в портал Azure, то ресурсы AWS сканируются немедленно. Если вы завершите процесс добавления общедоступного облака в портал Azure перед отправкой шаблона, вам потребуется немного больше времени, чтобы проверить ресурсы AWS и сделать их доступными в Azure.

Создание стека

Выполните следующие действия, чтобы создать стек и отправить шаблон:

  1. Откройте консоль AWS CloudFormation и выберите "Создать стек".

  2. Выберите шаблон готов, а затем выберите "Отправить файл шаблона". Выберите файл и перейдите к шаблону. Затем выберите Далее.

  3. В поле "Указание сведений о стеке" введите имя стека.

    1. Если вы выбрали решение arc Onboarding , заполните следующие сведения в параметрах стека:

      1. EC2SMIAMRoleAutoAssignment. Указывает, назначаются ли роли IAM для задач SSM автоматически. По умолчанию этот параметр имеет значение true, и на всех обнаруженных компьютерах EC2 назначена роль IAM. Если этот параметр задан как false, необходимо вручную назначить роль IAM экземплярам EC2, которые необходимо подключить к Arc.

      2. EC2SMIAMRoleAutoAssignmentSchedule: указывает, должна ли роль IAM EC2, используемая для задач SSM, периодически присваиваться автоматически. По умолчанию этот параметр включен , то есть все компьютеры EC2, обнаруженные в будущем, будут автоматически назначены роли IAM. Если этот параметр отключен , необходимо вручную назначить роль IAM любому только что развернутому EC2, который требуется подключить к Azure Arc.

      3. EC2SMIAMRoleAutoAssignmentScheduleInterval: указывает периодический интервал автоназначения роли IAM EC2, используемой для задач SSM (например, 15 минут, 6 часов или 1 день). Если для параметра EC2SMIAMRoleAutoAssignment задано значение true и EC2SMIAMRoleAutoAssignmentSchedule , можно выбрать частоту проверки новых экземпляров EC2 для назначения роли IAM. Интервал по умолчанию — 1 день.

      4. EC2SMIAMRolePolicyUpdateAllowed: указывает, разрешены ли существующие роли IAM EC2, используемые для задач SSM, обновляться с необходимыми политиками разрешений, если они отсутствуют. По умолчанию этот параметр имеет значение true. Если вы решили задать значение false, необходимо вручную добавить это разрешение роли IAM в экземпляр EC2.

    2. В противном случае оставьте другие параметры параметрами по умолчанию и нажмите кнопку "Далее".

  4. В разделе "Настройка параметров стека" оставьте параметры по умолчанию и нажмите кнопку "Далее".

  5. В разделе "Проверка и создание" убедитесь, что информация правильна, установите флажок подтверждения и нажмите кнопку "Отправить".

Создание StackSet

Если учетная запись AWS является учетной записью организации, необходимо также создать StackSet и снова отправить шаблон. Для этого:

  1. Откройте консоль AWS CloudFormation и выберите StackSets, а затем выберите "Создать StackSet".

  2. Выберите шаблон готов, а затем выберите "Отправить файл шаблона". Выберите файл и перейдите к шаблону. Затем выберите Далее.

  3. В поле "Указание сведений о стеке" введите AzureArcMultiCloudStackset имя StackSet

    1. Если вы выбрали решение arc Onboarding , заполните следующие сведения в параметрах стека:

      1. EC2SMIAMRoleAutoAssignment. Указывает, назначаются ли роли IAM для задач SSM автоматически. По умолчанию этот параметр имеет значение true, и на всех обнаруженных компьютерах EC2 назначена роль IAM. Если этот параметр задан как false, необходимо вручную назначить роль IAM экземплярам EC2, которые необходимо подключить к Arc.

      2. EC2SMIAMRoleAutoAssignmentSchedule: указывает, должна ли роль IAM EC2, используемая для задач SSM, периодически присваиваться автоматически. По умолчанию этот параметр включен , то есть все компьютеры EC2, обнаруженные в будущем, будут автоматически назначены роли IAM. Если этот параметр отключен , необходимо вручную назначить роль IAM любому только что развернутому экземпляру EC2, который требуется подключить к Arc.

      3. EC2SMIAMRoleAutoAssignmentScheduleInterval: указывает периодический интервал для автоматического назначения роли IAM EC2, используемой для задач SSM (например, 15 минут, 6 часов или 1 день). Если для параметра EC2SMIAMRoleAutoAssignment задано значение true и EC2SMIAMRoleAutoAssignmentSchedule , можно выбрать частоту проверки новых экземпляров EC2 для назначения роли IAM. Интервал по умолчанию — 1 день.

      4. EC2SMIAMRolePolicyUpdateAllowed: указывает, разрешены ли существующие роли IAM EC2, используемые для задач SSM, обновляться с необходимыми политиками разрешений, если они отсутствуют. По умолчанию этот параметр имеет значение true. Если вы решили задать значение false, необходимо вручную добавить это разрешение роли IAM в экземпляр EC2.

    2. В противном случае оставьте другие параметры параметрами по умолчанию и нажмите кнопку "Далее".

  4. В разделе "Настройка параметров стека" оставьте параметры по умолчанию и нажмите кнопку "Далее".

  5. В разделе "Настройка параметров развертывания" введите идентификатор учетной записи AWS, в которой будет развернут StackSet, и выберите любой регион AWS для развертывания стека. Оставьте другие параметры параметрами по умолчанию и нажмите кнопку "Далее".

  6. В разделе "Проверка" убедитесь, что информация правильна, установите флажок подтверждения и нажмите кнопку "Отправить".

Подтверждение развертывания

После завершения настройки параметра "Добавить общедоступное облако " в Azure и отправки шаблона в AWS создается соединитель и выбранные решения. В среднем для того, чтобы ресурсы AWS стали доступными в Azure, потребуется около одного часа. При отправке шаблона после создания общедоступного облака в Azure может потребоваться немного больше времени, прежде чем вы увидите ресурсы AWS.

Ресурсы AWS хранятся в группе ресурсов с помощью соглашения aws_yourAwsAccountIdоб именовании с разрешениями, унаследованными от своей подписки. Выполняется регулярное сканирование для обновления этих ресурсов на основе выбора периодической синхронизации .

Следующие шаги

  • Запросите инвентаризацию с помощью решения инвентаризации соединителей multicloud.
  • Узнайте, как использовать решение для подключения соединителя Multicloud Arc.